Como foi o ataque que deixou quase 1 milhão de pessoas sem internet na Alemanha

Quase um milhão de usuários da internet ficaram sem sem TV, telefone e Internet na Alemanha durante o último fim de semana. Cerca de 900 mil roteadores ficaram fora do ar no domingo 27/11 e segunda-feira 28/11, após hackers os terem atacado com o objetivo de integrá-los à botnet Mirai. essa botnet funciona principalmente a partir de dispositivos pertencentes à categoria “Internet das Coisas” que, infectados com malwares, podem ser controlados de forma remota por pessoas mal intencionadas.

O problema, segundo o analista de malwares Pavel Šrámek, da Avast, foi uma implementação vulnerável do protocolo de gerenciamento CPE WAN (ou CWMP, também chamado TR-069). “Esse protocolo é usado por alguns provedores de internet, como a Deutsche Telekom, para gerenciar remotamente os roteadores de seus clientes quando precisam, por exemplo, ajustar as configurações do DNS ou do Network Time Protocol, o NTP”, explica Šrámek. Esse protocolo usa a porta TCP 7547, que é amplamente utilizada para isso em todo o mundo. De fato, com mais de 40 milhões de instâncias abertas, a porta TCP 7547 é a segunda mais aberta em toda a Internet pública, já que a primeira é a porta TCP 80, usada para HTTP.

Como muitos provedores de internet deixam essa porta aberta, ela é livremente acessível e por isso pode ser abusada por parte de atacantes para hackear roteadores nos quais o serviço CWMP está vulnerável. “O que é especialmente desagradável sobre isso é que os invasores podem fechar a porta depois de ter infectado o roteador com malware, para que o provedor de internet não possa mais acessar aquela porta para removê-lo remotamente”, alerta o analista.

Segundo os especialistas da Avast, o ataque aproveitou uma falha no processamento dos endereços de servidores NTP (servidores de horário), recentemente divulgada. Normalmente, o protocolo CWMP permite que o provedor de internet envie o nome de um servidor NTP no qual o roteador poderá obter a hora atual, para configurar o seu relógio. Através dessa vulnerabilidade, é possível que os invasores substituam o nome do servidor NTP por uma série de comandos que são executados pelo roteador – por exemplo, o download e a execução de malware. No entanto, nem todos os roteadores gerenciados pelo CWMP são afetados – estão vulneráveis apenas os que não exigem autenticação para esse pedido. Portanto, os roteadores da Deutsche Telekom foram afetados, enquanto os da Verizon, que exigem uma autenticação, não foram.

Essa vulnerabilidade permite a execução remota de código em muitos outros roteadores e está presente, por exemplo, em roteadores Speedport distribuídos pela Deutsche Telekom. Muitos provedores de internet negligenciaram a atualização de seus dispositivos, deixando um verdadeiro paraíso para os cibercriminosos, já que através dessa vulnerabilidade podem atacar centenas de milhares de dispositivos ao mesmo tempo. 

Os autores da rede de bots Mirai, que anteriormente infectaram câmeras IP de fabricação chinesa protegidas apenas pelas senhas-padrão, e retiraram do ar grandes sites da internet nos Estados Unidos, já começaram a abusar desta vulnerabilidade, e é possível que também estejam por trás do ataque aos clientes da Deutsche Telekom.

Muitos clientes da Deutsche Telekom agora sabem que é encrenca ter um roteador inseguro. No entanto, podemos afirmar que isso pode ser apenas o começo do que poderá acontecer no futuro. O próximo passo para os invasores pode ser hackear outros dispositivos domésticos, como câmeras web, TVs inteligentes ou termostatos, uma vez que eles ganham acesso ao roteador.

Como empresa de segurança digital, estamos colaborando com os fabricantes de roteadores para encontrar soluções que os tornarão mais seguros. O software de segurança deve ser implementado diretamente no roteador, que é o ponto central da rede doméstica, conectando todos os dispositivos de uma casa inteligente com a Internet.

Você pode verificar a segurança do roteador da sua casa ou empresa executando a varredura do Avast Home Network Security, disponível no Avast Free Antivirus. O Home Network Security verifica se o seu roteador usa a porta TCP 7547 e pode detectar se ela está aberta e vulnerável a ataques.”